Некоммерческая правозащитная группа Amnesty International сообщает, что сербские власти использовали цепочку 0-day эксплоитов, разработанную компанией Cellebrite, чтобы разблокировать устройство студента-активиста и попытаться установить на его Android-девайс шпионское ПО.
Израильская Cellebrite позиционирует себя как независимую киберкриминалистическую компанию, которая специализируется на извлечении данных с мобильных устройств. Cellebrite разрабатывает инструменты, которые используются правоохранительными органами, спецслужбами и частными компаниями по всему миру для извлечения данных со смартфонов и других устройств.
Использование новой цепочки 0-day эксплоитов для Android было обнаружено экспертами Amnesty International в середине 2024 года, во время анализа логов устройства, подвергшегося атаке.
Стоит отметить, что ранее организация рассказывала о случаях нарушения прав на неприкосновенность частной жизни в Сербии в декабре 2024 года. В ответ на это представители Cellebrite заявили, что в начале текущей недели они заблокировали доступ к своим инструментам для сотрудников правоохранительных органов страны.
Исследователи Amnesty International поделились результатами своей работы с экспертами из Google Threat Analysis Group (TAG), что позволило обнаружить три уязвимости нулевого дня в USB-драйверах ядра Linux, используемых в Android:
- CVE-2024-53104 (эксплоит для USB Video Class);
- CVE-2024-53197 (эксплоит для драйвера USB-звука ALSA);
- CVE-2024-50302 (эксплоит для USB HID-устройств).
Такие эксплоиты обычно используют уязвимости в системе USB устройства (включая драйверы, прошивки или компоненты ядра) для получения несанкционированного доступа или контроля над системой. Как правило, такие эксплоиты ведут к повреждению памяти и выполнению произвольного кода, внедрению вредоносных команд или обходу экранов блокировки.
Обычно смягчающим обстоятельством является необходимость физического доступа к целевому устройству. Однако зачастую это требование легко выполнимо, если полиция задерживает человека и конфискует его устройство.
Первая из упомянутых выше уязвимостей была исправлена в составе февральских обновлений безопасности для Android и получила отметку об «ограниченной, целенаправленной эксплуатации».
Сообщений об исправлении двух других проблем пока нет ни в одном бюллетене безопасности Android, хотя баги уже исправлены в ядре Linux.
Представители Google уже сообщили СМИ, что 18 января 2025 года они предоставили OEM-партнерам исправления для этих багов. В зависимости от модели конкретного устройства и частоты выхода обновления ядра, выход патчей может занять некоторое время.
«Мы знали об этих уязвимостях и риске их использования еще до появления данных сообщений и оперативно разработали исправления для Android. Исправления были переданы OEM-партнерам в партнерском бюллетене 18 января. Также эти CVE будут включены в будущие бюллетени безопасности Android и будут обязательны для Android Security Patch Level (SPL)», — заявили в Google.
При этом в Amnesty International сообщают, что исправления для CVE-2024-53104 должно быть достаточно для нарушения всей цепочки эксплуатации, хотя пока исследователи не уверены в этом до конца.
